Puedes tener el mejor proveedor de identidad del mundo y aun así vivir un desastre de acceso: gente con permisos que heredó de un puesto que ya no ocupa, cuentas de exempleados todavía activas, y nadie que sepa a ciencia cierta quién puede tocar qué. La tecnología autentica; lo que falta casi siempre es la disciplina de gobernar el acceso a lo largo del tiempo. Eso es IAM —gestión de identidades y accesos— y, en cristiano, se reduce a dos ideas y un ciclo.
Idea uno: mínimo privilegio
El principio de mínimo privilegio dice algo simple y difícil de sostener: cada persona debe tener exactamente los permisos que necesita para su trabajo, ni uno más. Ni uno más, porque cada permiso extra es superficie de ataque: si esa cuenta se compromete, el daño llega hasta donde llegaban sus accesos. Es la misma lógica que aplicamos al acceso a datos, elevada a toda la identidad. Suena obvio; lo difícil es que el mínimo privilegio se erosiona solo con el tiempo, y por eso hace falta lo siguiente.
Idea dos: roles, no permisos sueltos (RBAC)
Asignar permisos persona por persona no escala y se vuelve incomprensible. La alternativa es RBAC (control de acceso basado en roles): defines roles —"Vendedor", "Contador", "Soporte N2"— con un paquete de accesos cada uno, y a las personas les asignas roles, no permisos individuales. La ventaja es doble: cuando alguien cambia de puesto, le cambias el rol y listo; y cuando auditas, revisas un puñado de roles en vez de miles de permisos sueltos. El acceso se vuelve legible, que es la mitad de tenerlo bajo control.
El ciclo que casi nadie cierra: joiner, mover, leaver
Una identidad tiene una vida, y esa vida tiene tres momentos —lo que en inglés se llama joiner-mover-leaver (JML)—:
- Joiner (entra): se crea la cuenta y se le da el acceso de su rol. El riesgo aquí es el exceso: darle "lo mismo que a su compañero" y arrastrar permisos que no le tocan.
- Mover (cambia): la persona cambia de puesto. El error clásico es sumar los accesos del nuevo rol sin quitar los del anterior. Así nace el empleado que, tras cinco años y tres áreas, puede tocar medio sistema —la acumulación de privilegios—.
- Leaver (sale): la persona se va, y su acceso debe morir con la relación. Aquí está la brecha más común y peligrosa: la cuenta del exempleado que sigue activa semanas o meses, una puerta abierta que nadie vigila y que un atacante —o el propio exempleado molesto— puede usar.
El leaver mal ejecutado es una de las causas de incidente más evitables que existen, y casi siempre nace de tratar la baja como un trámite lento entre RRHH y TI en vez de como un cierre de seguridad inmediato.
El ciclo de vida de una identidad: joiner, mover y leaver. Cada etapa tiene su riesgo, y la revisión de accesos periódica mantiene el conjunto honesto.
La herramienta que mantiene todo honesto: la revisión de accesos
Como el mínimo privilegio se erosiona, hay que auditarlo periódicamente. Una revisión de accesos (recertificación) es simplemente sentar a los responsables cada cierto tiempo a confirmar, uno por uno, que la gente que tiene acceso a algo sigue necesitándolo. Es aburrido y es exactamente por eso que casi nadie lo hace —y exactamente por eso los accesos se pudren—. Sin recertificación, cualquier diseño de roles impecable se degrada en un año.
La idea que se queda
IAM no es una herramienta que compras, es una disciplina que sostienes: mínimo privilegio para limitar el daño, roles para hacer el acceso legible, y el ciclo joiner-mover-leaver bien cerrado —sobre todo la baja— para que las puertas se cierren cuando deben. Es el gobierno que le da sentido a toda la identidad como perímetro. Y para las llaves más peligrosas de todas, hay un régimen aparte: PAM.